EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32003D0490
2003/490/EC: Commission Decision of 30 June 2003 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Argentina (Text with EEA relevance)
2003/490/CE: Décision de la Commission du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l'Argentine (Texte présentant de l'intérêt pour l'EEE)
2003/490/CE: Décision de la Commission du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l'Argentine (Texte présentant de l'intérêt pour l'EEE)
OJ L 168, 5.7.2003, p. 19–22
(ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 031 P. 302 - 305
Special edition in Estonian: Chapter 13 Volume 031 P. 302 - 305
Special edition in Latvian: Chapter 13 Volume 031 P. 302 - 305
Special edition in Lithuanian: Chapter 13 Volume 031 P. 302 - 305
Special edition in Hungarian Chapter 13 Volume 031 P. 302 - 305
Special edition in Maltese: Chapter 13 Volume 031 P. 302 - 305
Special edition in Polish: Chapter 13 Volume 031 P. 302 - 305
Special edition in Slovak: Chapter 13 Volume 031 P. 302 - 305
Special edition in Slovene: Chapter 13 Volume 031 P. 302 - 305
Special edition in Bulgarian: Chapter 13 Volume 040 P. 3 - 6
Special edition in Romanian: Chapter 13 Volume 040 P. 3 - 6
Special edition in Croatian: Chapter 13 Volume 058 P. 57 - 60
In force: This act has been changed. Current consolidated version: 17/12/2016
2003/490/CE: Décision de la Commission du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l'Argentine (Texte présentant de l'intérêt pour l'EEE)
Journal officiel n° L 168 du 05/07/2003 p. 0019 - 0022
Décision de la Commission du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par l'Argentine (Texte présentant de l'intérêt pour l'EEE) (2003/490/CE) LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES, vu le traité instituant la Communauté européenne, vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 25, paragraphe 6, considérant ce qui suit: (1) Conformément à la directive 95/46/CE, les États membres sont tenus à veiller à ce que les transferts de données à caractère personnel vers un pays tiers n'aient lieu que si le pays tiers en question assure un niveau de protection adéquat et si les lois des Etats membres qui mettent en oeuvre d'autres dispositions de la directive sont respectées avant le transfert. (2) La Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Dans ce cas, des données à caractère personnel peuvent être transférées à partir des États membres sans qu'aucune garantie supplémentaire ne soit nécessaire. (3) Conformément à la directive 95/46/CE, le niveau de protection des données doit être apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions déterminées, énumérées à son article 25, paragraphe 2. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué à l'article 29 de la directive 95/46/CE, a donné des indications sur ces évaluations(2). (4) Compte tenu des différentes approches retenues par les pays tiers en matière de protection des données, il convient de faire en sorte que l'évaluation du caractère adéquat de cette protection et l'application de toute décision au titre de l'article 25, paragraphe 6, de la directive 95/46/CE ne créent pas de discrimination arbitraire ou injustifiée à l'égard des pays tiers où des conditions similaires existent ou entre les pays tiers, et ne constituent pas une entrave déguisée aux échanges eu égard aux engagements internationaux actuels de la Communauté. (5) En ce qui concerne l'Argentine, les normes juridiques sur la protection des données à caractère personnel sont contenues dans des règles générales et sectorielles. Les unes et les autres produisent des effets juridiques contraignants. (6) Les règles générales sont énoncées par la constitution, la loi n° 25.326 sur la protection des données à caractère personnel et le règlement approuvé par le décret n° 1558/2001 (ci-après dénommés "le droit argentin"). (7) La constitution argentine prévoit un recours juridictionnel spécial en matière de protection des données à caractère personnel, dénommé "habeas data" (droit pour toute personne d'accéder aux documents la concernant). Il s'agit d'une sous-catégorie de la procédure inscrite dans la constitution pour la protection des droits constitutionnels qui élève donc la protection des données à caractère personnel au rang de droit fondamental. L'article 43, paragraphe 3, de la constitution prévoit que toute personne peut avoir recours à cette action [c'est-à-dire l'habeas data] afin de prendre connaissance du contenu et de la finalité de toutes les données la concernant, figurant dans des fichiers ou banques de données publics, ou privés destinés à fournir des informations. Cet article stipule qu'en cas de fausseté de l'information ou d'une utilisation de celle-ci à des fins discriminatoires, l'intéressé a la possibilité d'exiger la suppression, la correction, la confidentialité ou la mise à jour des données contenues dans les fichiers précités. Cet article ne porte pas atteinte au secret des sources d'information des journalistes. La jurisprudence argentine reconnaît l'"habeas data" comme un droit fondamental et directement applicable. (8) La loi n° 25.326 sur la protection des données à caractère personnel du 4 octobre 2000 (ci-après dénommée "la loi") développe et élargit les dispositions de la constitution. Elle comporte des dispositions relatives aux principes généraux de protection des données, aux droits des personnes concernées, aux obligations des responsables du traitement et des utilisateurs des données, à l'autorité ou à l'organe de contrôle, aux sanctions et au règlement intérieur relatif au recours juridictionnel à l'"habeas data". (9) Le règlement approuvé par le décret n° 1558/2001 du 3 décembre 2001 (ci-après dénommé "le règlement") définit les modalités d'application de la loi, complète ses dispositions et clarifie certains points pouvant donner lieu à des interprétations divergentes. (10) Le droit argentin couvre la protection des données à caractère personnel enregistrées dans des fichiers, registres, banques de données ou autres moyens techniques publics, et la protection des données à caractère personnel enregistrées dans des fichiers, registres, banques de données ou autres moyens techniques privés, destinés à fournir des informations. Il s'agit notamment de ceux qui dépassent l'utilisation exclusivement personnelle et ceux qui sont destinés à la cession ou au transfert de données à caractère personnel, que la circulation des données ou de l'information produites soit gratuite ou payante. (11) Certaines dispositions de la loi s'appliquent de façon uniforme sur tout le territoire national. Elles incluent les dispositions générales et les dispositions relatives aux principes généraux de protection des données, aux droits des personnes concernées, aux obligations des responsables du traitement et des utilisateurs des fichiers, registres et banques de données, aux sanctions pénales et à l'existence ainsi qu'aux modalités principales du recours juridictionnel à l'"habeas data" tel que fixé par la constitution. (12) D'autres dispositions de la loi s'appliquent aux registres, fichiers, bases ou banques de données interconnectés en réseaux répartis au niveau interjuridictionnel (c'est-à-dire "interprovincial"), national ou international, et qui sont considérés comme relevant de la juridiction fédérale. Elles portent sur la surveillance exercée par l'autorité de contrôle, sur les sanctions imposées par celle-ci et sur les règles de procédure concernant les modalités de recours à l'"habeas data". Les autres types de registres, fichiers, bases ou banques de données doivent être considérés comme relevant de la juridiction provinciale. Les provinces peuvent prendre des dispositions légales à ce sujet. (13) Les dispositions relatives à la protection des données figurent dans plusieurs instruments juridiques réglementant différents secteurs, dont les transactions par cartes de crédit, les statistiques, les opérations bancaires ou la santé. (14) Le droit argentin englobe tous les principes fondamentaux nécessaires pour constater un niveau de protection adéquat des personnes physiques, même si des dérogations et des limitations sont également prévues pour la sauvegarde d'intérêts publics importants. L'application de ces normes est garantie par un recours juridictionnel simplifié et rapide, l'"habeas data", ainsi que par des recours juridictionnels généraux. Le droit argentin prévoit la création d'un organe de contrôle de la protection des données, chargé de prendre toutes les mesures nécessaires au respect des objectifs et des dispositions de la loi et disposant d'un certain nombre de pouvoirs d'enquête et d'intervention. En vertu du règlement, la direction nationale de la protection des données à caractère personnel a été instituée en tant qu'organe de contrôle. Le droit argentin prévoit un certain nombre de sanctions efficaces et dissuasives, tant administratives que pénales. Par ailleurs, les dispositions du droit argentin relatives à la responsabilité civile (contractuelle et extra-contractuelle) s'appliquent en cas de traitement illicite portant préjudice aux personnes concernées. (15) Le gouvernement argentin a fourni des explications et donné des assurances sur la façon dont le droit argentin doit être interprété et a confirmé que ses dispositions en matière de protection des données sont appliquées suivant cette interprétation. La présente décision est fondée sur ces informations et ces assurances et en dépend donc. Elle repose notamment sur les explications et assurances fournies par les autorités argentines concernant la façon dont le droit argentin doit être interprété en ce qui concerne les situations qui entrent dans le champ d'application du droit argentin en matière de protection des données. (16) Il convient dès lors de considérer que l'Argentine assure un niveau adéquat de protection des données à caractère personnel, tel que mentionné par la directive 95/46/CE. (17) Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d'assurer la protection des personnes physiques à l'égard du traitement des données à caractère personnel, il est nécessaire d'indiquer dans la présente décision dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, même lorsque le niveau de protection assuré a été jugé adéquat. (18) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué à l'article 29 de la directive 95/46/CE, a rendu un avis sur le niveau de protection assuré par l'Argentine(3); il en a été tenu compte lors de l'élaboration de la présente décision. (19) Les mesures prévues à la présente décision sont conformes à l'avis du comité institué à l'article 31, paragraphe 1, de la directive 95/46/CEE, A ARRÊTÉ LA PRÉSENTE DÉCISION: Article premier Aux fins de l'article 25, paragraphe 2, de la directive 95/46/CE, l'Argentine est considérée comme assurant un niveau de protection adéquat des données à caractère personnel transférées à partir de la Communauté. Article 2 La présente décision concerne uniquement le caractère adéquat de la protection assurée en Argentine en vue de répondre aux exigences de l'article 25, paragraphe 1, de la directive 95/46/CE et n'affecte pas d'autres conditions ou restrictions transposant d'autres dispositions de ladite directive qui se rapportent au traitement de données à caractère personnel dans les États membres. Article 3 1. Sans préjudice de leurs pouvoirs de prendre les mesures visant à assurer le respect des dispositions nationales adoptées en application de dispositions autres que celles de l'article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour suspendre le transfert de données à un destinataire établi en Argentine afin de protéger les personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel dans les cas suivants: a) lorsqu'une autorité argentine compétente a constaté que le destinataire ne respecte pas les normes applicables en matière de protection; b) lorsqu'il est probable que les normes de protection ne sont pas respectées, qu'il y a tout lieu de croire que l'autorité argentine compétente ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s'imposent pour régler l'affaire en question, que la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et que les autorités compétentes de l'État membre se sont raisonnablement efforcées dans ces circonstances d'avertir le responsable du traitement établi en Argentine et de lui donner la possibilité de répondre. La suspension du transfert cesse dès que le respect des normes de protection est assuré et que l'autorité compétente concernée dans la Communauté en est avertie. 2. Les États membres informent sans tarder la Commission des mesures adoptées au titre du paragraphe 1. 3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités argentines chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect. 4. Si les informations collectées en application des paragraphes 1, 2 et 3 montrent qu'un organisme chargé de faire respecter les normes de protection en Argentine ne remplit pas efficacement sa mission, la Commission en informe l'autorité argentine compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée. Article 4 1. La présente décision peut être adaptée à tout moment à la lumière de l'expérience tirée de son application ou en cas de modification de la législation argentine, de sa mise en oeuvre et de son interprétation. La Commission évalue la mise en oeuvre de la présente décision et communique au comité institué à l'article 31 de la directive 95/46/CE toute constatation pertinente, et notamment tout élément susceptible d'avoir une incidence sur l'évaluation faite à l'article 1er de la présente décision du niveau de protection adéquat assuré en Argentine au sens de l'article 25 de la directive 95/46/CE et tout élément montrant que la décision est appliquée de façon discriminatoire. 2. La Commission présente, si nécessaire, un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE. Article 5 Les États membres prennent toutes les mesures nécessaires pour se conformer à la présente décision au plus tard cent vingt jours à compter la date de sa notification. Article 6 Les États membres sont destinataires de la présente décision. Fait à Bruxelles, le 30 juin 2003. Par la Commission Frederik Bolkestein Membre de la Commission (1) JO L 281 du 23.11.1995, p. 31. (2) Avis 12/98, émis par le groupe de travail le 24 juillet 1998: Transferts de données personnelles vers des pays tiers: Application des articles 25 et 26 de la directive communautaire sur la protection des données (DG MARKT D/5025/98), disponible sur Europa, le site Web de l'Union européenne: http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm. (3) Avis 4/2002 sur le niveau de protection des données à caractère personnel en Argentine - WP 63 du 3.10.2002, disponible à l'adresse suivante: http://europa.eu.int/comm/ internal_market/fr/dataprot/wpdocs/ index.htm.